13.03.2015

V zadnjem letu opažamo, da se je močno povečalo število okužb z zlonamerno kodo (virusi, trojanci), ki s seboj prinesejo različne posledice. Od januarja 2014 do danes smo obravnavali približno 300 prijav uporabnikov, ki so prejeli potvorjen e-mail v nemškem jeziku (Deutsche Telekom, Vodafone, DHL…), v katerem se je namesto obvestila o neplačani položnici skrival virus. Vedno več je tudi primerov, ko se v priponkah, ki izgledajo kot .pdf dokument, skrivajo bančni trojanci (Zeus, Citadel, Spyeye, Torpig ipd), specializirani za krajo digitalnih certifikatov in gesel. Na pohodu pa so tudi izsiljevalski virusi Cryptolocker, Cryptowall, CTB Locker, Synolocker ipd., za katere zaenkrat še ni prave rešitve. Glavni način okužbe je ponovno prek elektronske pošte, običajno se širijo v .zip priponkah, v katerih se nahajajo .cab in .scr datoteke. Po okužbi virus zašifrira VSE uporabniške datoteke na računalniku in zahteva plačilo odkupnine (običajno okoli 500 €), če želite ključ, ki bo datoteke odšifriral.

Skupna lastnost vseh obravnavanih primerov je, da so si uporabniki sami “naklikali” virus. Za uspešen zagon tovrstnih zlonamernih programov je potrebna interakcija samega uporabnika, zato je res pomembno, da pomislimo, preden odpremo priponko neznanega pošiljatelja.

Preventiva je v takšnih primerih veliko učinkovitejša in cenejša od kurative, zato:

  • ne klikajte na povezave v elektronski pošti, ki jo prejmete od popolnega neznanca oz. prej preverite, kam vas bo povezava peljala (z miško se postavite na povezavo),
  • ne odpirajte priponk neznanih pošiljateljev, tudi če gre za .pdf .doc .xls. Napadalci namreč lahko izvršljivo datoteko (virus) tako zamaskirajo, da na prvi pogled izgleda kot nenevaren pisarniški dokument.
  • pogosto napadalci pošljejo potvorjeno elektronsko pošto, v kateri se predstavijo kot zaupanja vredna institucija, npr. banka, leasing hiša, tudi FURS. Vseeno preverite, kam vodijo povezave, če vam je karkoli sumljivo, raje preverite pri uradni instituciji,
  • izdelajte backup! Pripravili smo navodila, kako enostavno izdelate varnostne kopije, saj če že pride do okužbe z izsiljevalskim virusom, je to edina možnost, da rešite svoje datoteke. Ali pa plačate 500 € odkupnine, seveda.     

 

Vsebine, ki vam lahko pomagajo
3

Nov val izsiljevalskih virusov, tokrat v ZIP priponkah

Zadnje dni na SI-CERT prejemamo številne prijave sumljive elektronske pošte, namenjene ciljno izbranim naslovnikom v Sloveniji. Sporočila so različna, vsa pa vsebujejo priponko oblike dokument_1.zip (v priponki je lahko uporabljena druga številka). ZIP arhiv vsebuje javascript datoteko dokument_1.js, ki poskusi okužiti računalnik. Po prvih pregledih kaže, da gre za nov val…

Komentarji (12)
    • Sama imam zelo enostaven recept: pošte, ki jo ne poznam, sploh ne odpiram, še zlasti pa ne kakšnih “izrednih ponudb”. Nasvet: brisati brez odpiranja, tudi iz koša. Dvignite varnost na požarnem zidu na najvišjo, računalnik redno nadgrajujte z najnovejšo različico protivirusnega programa – mislim dnevno! Pozdravček!

    • Da pride do okužbe morate klikniti na povezavo v sporočilu, preko katere se vam na računalnik prenese zip (včasih tudi rar) arhiv, ali pa odprete zip arhiv ki je priložen sporočilu. Potem pa morate še 2x klikniti na datoteko, ki se nahaja v tem arhivu. Če ste to storili, morate čimprej ukrepati, ker lahko računalnik okužite z izsiljevalskim virusom, ki takoj začne šifrirati datoteke. Najbolje je, da se računalnik nemudoma ugasne, in da se ga pregleda in očisti v t.i. offline načinu (iz operacijskega sistema, ki se nahaja na zgoščenki ali USB ključku), v katerem se naredi tudi arhivsko kopijo datotek. Če sami ne znate narediti tega, predlagamo da računalnik odnesete na servis.

  • Eno vprašanje:
    ali virus aktiviraš že s tem, ko priponko shraniš na lokalni disk (save as…) ?
    Ko je na disku, se jo lahko pregleda z antivir sw….

    lp

    • Načeloma do okužbe računalnika ob shranitvi datoteke ne sme priti, seveda razen v primerih, ko bi prišlo do avtomatske obdelave shranjene datoteke. Kot primer bi lahko podal denimo avtomatsko generiranje prikazne slike oz. thumbnail-a. Če bi denimo datoteka vsebovala škodljivo kodo, ki bi poizkušala izkoristiti tovrstni avtomatizem bi vseeno lahko prišlo do izvršitve škodljive kode. Seveda je verjetnost nepoznane ranljivosti avtomatizmov za generiranje thumbnail-ov sorazmeroma majhna.

    • Če govorimo o izsiljevalskih virusih, ti zašifrirajo tudi dokumente v oblaku. A ima vsak uporabnik možnost, da vsak dokument v oblaku povrne za obdobje do 30 dni nazaj in to velja tudi za zašifrirane datoteke.

    • Bi mi prosim lahko razložili, kako lahko virus zašifrira tudi dokumente v oblaku? Vanj se vendar prijaviš tako kot v elektronsko pošto – a to pomeni, da so tudi vsi moji preostali računi (pošta, forumi, družabna omrežja) v rokah zlikovcev?
      Hvala.

    • Virus zašifrira datoteke v računalniku, te pa se potem sinhronizirajo v oblak. Na srečo večina oblačnih ponudnikov shranjuje več verzij datotek, tako da lahko datoteke tudi restavrirate. Glede gesel je pa tako, da izsiljevalski kripto virusi običajno gesel ne kradejo. Obstajajo pa tudi drugi virusi, ki pa počnejo ravno to: ukradejo gesla, ki jih imate shranjena v brskalniku, ter gesla, ki jih sami vpisujete. Tako da ko pride do okužbe računalnika, je priporočljivo preventivno zamenjati vsa gesla.

  • Vaš komentar

    Vaš e-naslov ne bo nikoli objavljen ali posredovan tretjim osebam.
    Obvezna polja so označena z *